Log Analytics ile Microsoft Entra etkinlik günlüklerini analiz etme
Microsoft Entra etkinlik günlüklerini Azure İzleyici günlükleriyle tümleştirdikten sonra ortamınızla ilgili içgörüler elde etmek için Log Analytics ve Azure İzleyici günlüklerinin gücünü kullanabilirsiniz.
Microsoft Entra oturum açma günlüklerinizi Bulut için Microsoft Defender tarafından yayımlanan güvenlik günlükleri ile karşılaştırın.
uygulamanızın oturum açma sayfasında performans sorunlarını gidermek için Azure Uygulaması Analizler uygulama performans verilerini ilişkilendirin.
Ortamınızdaki tehditleri algılamak için Kimlik Koruması riskli kullanıcıları ve risk algılama günlüklerini analiz edin.
Bu makalede Log Analytics çalışma alanınızdaki Microsoft Entra etkinlik günlüklerini analiz etme açıklanır.
Önkoşullar
Log Analytics ile etkinlik günlüklerini analiz etmek için şunları yapmanız gerekir:
- Premium P1 lisansına sahip bir Microsoft Entra kiracısı
- Log Analytics çalışma alanı ve bu çalışma alanına erişim
- Azure İzleyici ve Microsoft Entra Id için uygun roller
Log Analytics çalışma alanı
Log Analytics çalışma alanı oluşturmanız gerekir. Log Analytics çalışma alanlarına erişimi belirleyen çeşitli faktörler vardır. Çalışma alanı ve verileri gönderen kaynaklar için doğru rollere ihtiyacınız vardır.
Daha fazla bilgi için bkz . Log Analytics çalışma alanlarına erişimi yönetme.
Azure İzleyici rolleri
Azure İzleyici, izleme verilerini görüntülemek ve izleme ayarlarını düzenlemek için iki yerleşik rol sağlar. Azure rol tabanlı erişim denetimi (RBAC), benzer erişim sağlayan iki Log Analytics yerleşik rolü de sağlar.
Görünüm:
- İzleme Okuyucusu
- Log Analytics Okuyucusu
Ayarları görüntüleme ve değiştirme:
- İzleme Katkıda Bulunanı
- Log Analytics Katkıda Bulunan
Azure İzleyici yerleşik rolleri hakkında daha fazla bilgi için bkz . Azure İzleyici'de roller, izinler ve güvenlik.
Log Analytics RBAC rolleri hakkında daha fazla bilgi için bkz. Azure yerleşik rolleri
Microsoft Entra rolleri
Salt okunur erişim, Microsoft Entra Id günlük verilerini bir çalışma kitabı içinde görüntülemenize, Log Analytics'ten veri sorgulamanıza veya Microsoft Entra yönetim merkezinde günlükleri okumanıza olanak tanır. Güncelleştirme erişimi, Microsoft Entra verilerini Log Analytics çalışma alanına göndermek için tanılama ayarları oluşturma ve düzenleme özelliği ekler.
Okuma:
- Rapor Okuyucusu
- Güvenlik Okuyucusu
- Genel Okuyucu
Güncelleştirme:
- Güvenlik Yöneticisi
Microsoft Entra yerleşik rolleri hakkında daha fazla bilgi için bkz . Microsoft Entra yerleşik rolleri.
Log Analytics'e erişme
Microsoft Entra Id Log Analytics'i görüntülemek için etkinlik günlüklerinizi Zaten Microsoft Entra Id'den Log Analytics çalışma alanına gönderiyor olmanız gerekir. Bu işlem, Etkinlik günlüklerini Azure İzleyici ile tümleştirme makalesinde ele alınmıştır.
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.
Kimlik>İzleme ve sistem durumu>Log Analytics'e göz atın. Varsayılan arama sorgusu çalıştırılır.
Günlükle ilgili sorguların listesini görüntülemek için LogManagement kategorisini genişletin.
Açıklamayı ve diğer yararlı ayrıntıları görüntülemek için sorgu adını seçin veya üzerine gelin.
Şemayı görüntülemek için listeden bir sorguyu genişletin.
Etkinlik günlüklerini sorgulama
Log Analytics çalışma alanına yönlendirilen etkinlik günlüklerinde sorgu çalıştırabilirsiniz. Örneğin, geçen hafta en çok oturum açılan uygulamaların listesini almak için aşağıdaki sorguyu girin ve Çalıştır düğmesini seçin.
SigninLogs
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName
| sort by signInCount desc
Geçen haftanın en önemli denetim olaylarını almak için aşağıdaki sorguyu kullanın:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
Uyarıları ayarlama
Ayrıca bir sorguda uyarılar da ayarlayabilirsiniz. Sorguyu çalıştırdıktan sonra + Yeni uyarı kuralı düğmesi etkin hale gelir.
Log Analytics'te + Yeni uyarı kuralı düğmesini seçin.
- Kural oluşturma işlemi, kuralın ölçütlerini özelleştirmek için birkaç bölüm içerir.
- Uyarı kuralları oluşturma hakkında daha fazla bilgi için Koşul adımlarından başlayarak Azure İzleyici belgelerinden yeni uyarı kuralı oluşturma bölümüne bakın.
Eylemler sekmesinde, sinyal oluştuğunda uyarıyı alması gereken Eylem Grubunu seçin.
- Ekibinize e-posta veya kısa mesaj yoluyla bildirmeyi seçebilir veya web kancalarını, Azure işlevlerini veya mantıksal uygulamaları kullanarak eylemi otomatikleştirebilirsiniz.
- Azure portalında uyarı grupları oluşturma ve yönetme hakkında daha fazla bilgi edinin.
Ayrıntılar sekmesinde uyarı kuralına bir ad verin ve bunu bir abonelik ve kaynak grubuyla ilişkilendirin.
Tüm gerekli ayrıntıları yapılandırdıktan sonra Gözden Geçir + Oluştur düğmesini seçin.
Günlükleri çözümlemek için çalışma kitaplarını kullanma
Microsoft Entra çalışma kitapları, denetim, oturum açma ve sağlama olaylarını içeren yaygın senaryolarla ilgili çeşitli raporlar sağlar. Ayrıca, önceki bölümde açıklanan adımları kullanarak raporlarda sağlanan verilerden herhangi biri hakkında uyarı alabilirsiniz.
Sağlama analizi: Bu çalışma kitabı, denetim sağlama etkinliğiyle ilgili raporları gösterir. Etkinlikler arasında sağlanan yeni kullanıcı sayısı, sağlama hataları, güncelleştirilen kullanıcı sayısı, güncelleştirme hataları, sağlama kaldırılan kullanıcı sayısı ve buna karşılık gelen hatalar bulunabilir. Daha fazla bilgi için bkz . Sağlamanın Azure İzleyici günlükleriyle nasıl tümleştirdiğini anlama.
Oturum Açma Olayları: Bu çalışma kitabı, uygulamaya, kullanıcıya, cihaza göre oturum açma işlemleri ve zaman içinde oturum açma sayısını izleyen bir özet görünümü gibi oturum açma etkinliğini izlemeyle ilgili en ilgili raporları gösterir.
Koşullu Erişim içgörüleri: Koşullu Erişim içgörüleri ve raporlama çalışma kitabı, koşullu erişim ilkelerinin kuruluşunuzdaki etkisini zaman içinde anlamanıza olanak tanır. Daha fazla bilgi için bkz . Koşullu Erişim içgörüleri ve raporlaması.